BANKITALIA COLABRODO - UN HACKER È RIUSCITO A ENTRARE PER GIORNI NEI SERVER DELLA “CASSA DI SOVVENZIONI E RISPARMIO FRA IL PERSONALE DELLA BANCA D’ITALIA”, L’ISTITUTO INTERNO DI PALAZZO KOCH: SULLA VICENDA È CALATO IL SILENZIO, MA IL DANNO C’È STATO, COME DIMOSTRA LA CORRISPONDENZA TRA I SINDACATI E I VERTICI DELLA “CSR” - DECINE DI DIPENDENTI SI SONO VISTI PORTARE VIA DAL CONTO CORRENTE PARTI DEI RISPARMI - L’HACKER SI SPACCIAVA PER UN’OPERATORE DELLA CYBERSICUREZZA, CHIAMAVA AL CELLULARE E… - LO SCOOP DI BECHIS SUL PRIMO NUMERO DI "VERITÀ & AFFARI"
-Franco Bechis per “Verità & Affari”
Per giorni e giorni a marzo un misterioso hacker è entrato nel santuario della Banca di Italia e ha messo a rischio stipendi e pensioni dei suoi dipendenti, violando la sicurezza di conti e correntisti della cassa interna alla banca centrale.
La vittima è la "Cassa di Sovvenzioni e Risparmio fra il Personale della Banca d'Italia" (in sigla CSR), una vera e propria banca interna dei dipendenti che ne eleggono attraverso i sindacati gli organi direttivi. Non si conosce il danno provocato, perché sulla disavventura è calato il più solido muro del silenzio, e si capisce perché: la violazione dei sistemi di sicurezza del tempio della economia e della finanza italiana non è certo medaglia da mettersi sul petto.
Ma che il danno ci sia stato è evidente dalla corrispondenza intercorsa fra le rappresentanze sindacali e i vertici della CSR come dalla decisione di sospendere alcune funzionalità dell'home banking fra cui la possibilità di effettuare bonifici istantanei, che per altro avevano un massimale giornaliero piuttosto alto: 20 mila euro.
A lanciare l'allarme nelle chat interne dei dipendenti è stato per primo un dirigente sindacale della First Cisl, che ha spiegato come l'hacker lo avesse chiamato sul telefonino il 4 marzo 2022 alle 12,42 facendo apparire come chiamante un numero fisso identico a quello del centralino della Banca di Italia.
Il chiamante si è qualificato come Ettore Bianchi, operatore della cybersicurezza della sede centrale della CSR di Roma. Lo scopo della chiamata è guidare il dipendente Bankitalia in «un'operazione di breve durata, al fine di effettuare un aggiornamento obbligatorio della procedura MFID date le numerose frodi che ci sono al giorno d'oggi».
L'hacker è abile e rassicurante, fornisce a richiesta anche un numero di ticket per l'intervento e come spiega la sua vittima «per ogni domanda ha una risposta pronta e molto articolata». La procedura però suggerita non riesce dal pc e dal telefonino della vittima, e la spiegazione è che il cellulare non è di ultima generazione, privo quindi del software necessario per entrare in quel portale della CSR. Provano altre vie, ma non funzionano.
Alla vittima viene qualche dubbio e durante la conversazione con l'hacker apre un'altra chiamata da telefono fisso al service desk di Bankitalia, fa qualche domanda-trabocchetto e alla fine l'hacker mangia la foglia e molla la presa. Per uno non cascato nella trappola però ce ne sono decine di altri che si sono visti portare via dal conto corrente parte dei risparmi.
Lo si intuisce anche dalla risposta data dai vertici della CSR a chi lamentava la violazione di quello che tutti immaginavano un forziere inespugnabile: «Per tutti è stato avviato l'iter di richiesta di restituzione delle somme oggetto di frode (cd. Recali) che, nell'eventualità di disponibilità presenti sui conti di destinazione delle operazioni, consente ai clienti di potere attivare iniziative di recupero: primi risultati sono stati ottenuti (...)
Rimane ovviamente ferma la possibilità di rivolgersi alle Autorità - anche quelle previàte dalla normativa bancaria - a tutela dei propri interessi». A parte questa ultima frase dal sapore fin grottesco (finisce che ci si rivolge a Banca di Italia per rivalersi contro la scarsa protezione offerta ai correntisti dalla cassa interna a Bankitalia), anche la prima considerazione non sembra avere suscitato l'entusiasmo dei sindacati interni, felici che CSR sostenga di avere recuperato parte della refurtiva dell'hacker, ma- scrive il Dasbi- «attendiamo di sapere pure che i risultati siano ottenuti per tutti, e in caso invece per alcuni non si riesca a recuperare le somme dai truffatori, cosa intenda fare la Cassa a tutela dei correntisti».
Le risposte fin qui non sembrano poi così rassicuranti: contro gli attacchi hacker è stata annunciata «l'attivazione di un apposito presidio an-ti-frode contattabile h 24 sia dalla clientela che dagli altri intermediari». Non un muro di sicurezza: è il centralino telefonico della stessa CSR, a cui fuori dagli orari di ufficio si può lasciare una registrazione vocale. Ora che si metta in moto una vera difesa, i soldi sono volati già via dai conti correnti. Come è avvenuto in questo mese di marzo che imbarazza tutta la banca centrale italiana.